Man and a woman with a laptop in a server room

Сертификация по ISO 27001

Вашето запитване


Система за сигурност на информацията

Темата "Информационна сигурност" става все по-актуална за компаниите в хода на дигиталната трансформация. Без достатъчни предпазни мерки за сигурност съществува риск от загуба и кражба на данни от хакери, от срив на дейността поради атаки през Интернет или злоупотреба с данни. Един от вариантите за структуриран подход е въвеждането на система за управление на сигурността на информацията (СУСИ) съгласно ISO 27001.

Доказана сигурност на данните и информацията

Сигурността на информацията като част от корпоративната култура

Ефикасно прилагане на процес на управление на риска

Непрекъснато подобряване на нивото на сигурност

Business10.png

Какво е стандарт ISO 27001?

ISO/IEC 27001 е водещият международен стандарт за внедряване на цялостна система за управление на сигурността на информацията. Той се фокусира върху идентифицирането, оценката и управлението на рисковете за процесите за обработка на информация. Сигурността на поверителната информация се подчертава като важен стратегически елемент.

Информацията ни заобикаля навсякъде и е част от всеки процес. Понякога тя може да е несъществена, но твърде често е критична и поверителна. За да направите това важно за Вашата организация разграничение, е необходимо да класифицирате информацията. Това е така, защото защитните мерки на системата за управление на сигурността на информацията (СУСИ) съгласно ISO/IEC 27001 се основават на тази класификация.

СУСИ създава рамката за защита на оперативните данни и тяхната поверителност. Същевременно този световно признат стандарт гарантира функционирането на ИТ системите, участващи в корпоративните процеси. В този контекст сертификацията по ISO 27001 изпраща силен сигнал към пазара: а именно независима външна оценка и потвърждаване на ефикасността на вашата СУСИ.

С EN ISO/IEC 27001:2017-06 бе публикувана версия, координирана от Европейския комитет по стандартизация (CEN). Тя обединява двете поправки (corrigenda) Cor 1:2014 и Cor 2:2015. Промените, свързани с поправката, включват само подобрено описание на свързаните изисквания, но не и нови, допълнителни изисквания. По този начин сертификатите в съответствие с версията на ISO/IEC 27001:2013 запазват своята валидност. Стандартът е в процес на ревизия, ревизираната версия се очаква в края на 2022 г.

Вижте повече
Вижте по-малко
SEO19.png

За кои компании е подходящ сертификатът по ISO 27001?

Стандарт ISO 27001 за СУСИ се прилага в цял свят. Той предоставя на компании от всякакъв размер и от всички отрасли рамка за планиране, внедряване и наблюдение на информационната сигурност. Изискванията са приложими и важат за частни и публични компании, както и за организации с нестопанска цел.

В Германия например компаниите, които принадлежат към сектор на критичната инфраструктура (KRITIS) и надвишават определен праг, трябва да представят доказателства за това, как осигуряват информационната си сигурност. Секторите KRITIS включват енергетика, водоснабдяване, здравеопазване, финанси и застраховане, храни, транспорт и движение по пътищата, информационни технологии и телекомуникации. Съответното доказателство за изпълнение може да бъде предоставено чрез одити, тестове или сертификати за сигурност. За тази цел, одити могат да се провеждат на базата на признати стандарти като ISO 27001, или алтернативно - специфични за бранша стандарти за сигурност, признати от Германската федерална служба за информационна сигурност (BSI).

Вижте повече
Вижте по-малко
Business11.png

С какво стандартът ISO 27001 е полезен за моята компания?

Въвеждането на СУСИ в съответствие с ISO/IEC 27001 е стратегическо решение за Вашата компания. Изпълнението на предвидените общи изисквания на стандарта трябва да отразява конкретната ситуация в компанията. Внедряването във Вашата компания зависи от потребностите и целите, изискванията за сигурност и организационните процеси, както и от размера и структурата на компанията.

Особено полезно за практиката е прилагането на мерките в приложение А към стандарта. В допълнение към раздела с изисквания, ориентирани към системата за управление (раздели 4-10), стандартът ISO съдържа обширен списък от 35 целеви мерки (контроли) със 114 конкретни мерки за различни аспекти на сигурността в 14 раздела в приложение А. Тези мерки трябва да се прилагат в рамките на системата за управление, доколкото са приложими за Вашата компания.

Доказано е, че последователното привеждане на процесите в компанията в съответствие с ISO 27001 води до редица ползи:

  • Непрекъснато подобряване на нивото на сигурност
  • Намаляване на съществуващите рискове
  • Спазване на нормативните изисквания за съответствие
  • По-голяма осведоменост на служителите
  • Повишена удовлетвореност на клиентите

Вътрешните одити и прегледите на ръководството с участието на висшето ръководство са вътрешните лостове за постигане на тази цел.

Други положителни аспекти са, че заинтересованите страни, като надзорни органи, застрахователни компании, банки, партньорски компании и т.н., изграждат по-високо ниво на доверие във Вашата компания. Това е така, тъй като сертифицираната система за управление показва, че Вашата организация се справя с рисковете по структуриран начин и се придържа към непрекъснато подобряване , което я прави по-устойчива на нежелани влияния.

Международният стандарт ISO/IEC 27001 може да бъде внедрен, прилаган и сертифициран независимо от други системи за управление, като например ISO 9001 (управление на качеството) или ISO 14001 (управление на околната среда).

Вижте повече
Вижте по-малко
Business36.png

Кой има право да извършва сертификация по ISO 27001?

За да може да сертифицира система за управление на информационната сигурност, съответният сертифициращ орган трябва да бъде акредитиран по ISO/IEC 17021 и ISO/IEC 27006. ISO/IEC 17021 урежда теми, свързани с оценяване на съответствието, по-специално изисквания към сертификационните органи на системи за управление.

В допълнение, ISO/IEC 27006 определя строги изисквания към сертифициращите органи на СУСИ съгласно ISO 27001.

Те включват:

  • Доказателства за определени одитни дейности
  • Изисквания за квалификация на одиторите.

DQS е акредитиран от националния германски орган за акредитация DakkS (Deutsche Akkreditierungsstelle GmbH) и с това е оторизиран да извършва одити и сертификации по ISO 27001.

Независимо от бранша, в който работи Вашата компания, можете да разчитате на отличния опит на одиторите на DQS. Те имат дългогодишен опит в оценяването на системи за управление на информационната сигурност в различни сектори.

Вижте повече
Вижте по-малко
Business28.png

Как се провежда сертификацията по ISO 27001?

След като са изпълнени всички изисквания на ISO 27001, можете да сертифицирате своята система за управление. Ще преминете през многоетапен процес на сертификация в DQS. Ако в компанията вече е въведена сертифицирана система за управление, процесът може да бъде съкратен.

На първия етап обсъждате с нас Вашата компания и целите на сертификацията по ISO 27001. На тази основа ще получите подробна оферта, съобразена с индивидуалните нужди на вашата компания.

Срещата за планиране на проекта може да бъде полезна за по-големи проекти, например с цел по-добро координиране на графиците и планирането на одити при повече локации или поделения. Предварителният одит предлага възможност предварително да се определят силните страни и потенциалните възможности за подобряване на Вашата система за управление. И двете услуги не са задължителни.

Сертификационният одит започва с анализ на системата и оценка на вашата СУСИ (етап 1 на одита). Тук Вашият одитор определя дали Вашата система за управление е достатъчно развита и готова за сертификация. На следващия етап (етап 2 на одита на системата) Вашият одитор оценява ефикасността на всички процеси на управление на място, прилагайки стандарта ISO 27001. Резултатът от одита се представя на заключителна среща. Ако е необходимо, се договарят коригиращи действия.

След сертификационния одит резултатите се оценяват от независимия сертификационен борд на DQS. Ако всички изисквания на стандарта са изпълнени, ще получите сертификат ISO 27001.

След успешната сертификация ключовите компоненти на вашата СУСИ се одитират повторно на място поне веднъж годишно, за да се гарантира непрекъснато подобряване.

Сертификатът по ISO 27001 е валиден за максимален срок от три години. Ресертификацията се извършва своевременно преди изтичането на срока, за да се осигури постоянно съответствие с приложимите изисквания на стандарта. При постигане на съответствие се издава нов сертификат.

Banking13.png

Цена на сертификацията по ISO 27001

Четирите критерия за оценка

Въпреки че одитът по ISO 27001 трябва да бъде извършен в съответствие със структурирани спецификации, цената зависи от различни фактори, като например сложността на Вашата организация. Поради това не може да има универсална оферта за всяка компания.

Разходите за сертификация по ISO 27001 се определят, наред с другото, според следните четири критерия:

1. Сложност на Вашата система за управление на информационната сигурност.

Вземат се предвид критичните стойности (например патенти, лични данни, оборудване, процеси) на Вашата компания. Цената на сертификацията се основава предимно на изискванията за информационна сигурност и степента, в която се засягат поверителността, целостта и наличността (VIV) на информацията.

2. Дейност на вашата компания в рамките на обхвата на СУСИ

На този етап рисковете, свързани по-специално с вашите бизнес процеси, играят важна роля при определянето на необходимите одитни дейности. Вземат се предвид правните изисквания, както и комплексните, индивидуални изисквания на клиентите.

3. Технологии и компоненти, използвани във вашата СУСИ

По време на одита се разглеждат технологиите, както и отделните компоненти на вашата СУСИ. Те включват ИТ платформи, сървъри, бази данни, приложения, както и мрежови сегменти. Основното правило тук е: Колкото по-висок е делът на стандартните системи и колкото по-ниска е сложността на ИТ, толкова по-нисък обем дейности са необходими. От това зависят и разходите за сертификация по ISO 27001.

4 Дял на вътрешните разработки във вашата СУСИ

Ако няма вътрешни разработки и използвате предимно стандартизирани софтуерни платформи, одитните дейности са в по-малък обем. Ако вашата СУСИ се характеризира с интензивно използване на самостоятелно разработен софтуер и ако този софтуер се използва за централни бизнес области, одитните дейности за сертифициране ще бъдат по-големи.

За да можем да Ви дадем обща представа за разходите за сертифициране на СУСИ, се нуждаем от предварителна точна информация за Вашия бизнес модел и област на приложение. По този начин можем да ви предоставим индивидуална оферта.

Вижте повече
Вижте по-малко
Business2.png

Какво можете да очаквате от нас

  • Над 35 години опит в сертификацията на системи за управление и процеси
  • Одитори и експерти с опит в бранша и задълбочени технически познания
  • Добавена стойност за Вашата компания
  • Сертификати с международно признание
  • Експертиза и акредитации за всички съответни стандарти
  • Персонална и безпроблемна подкрепа от нашите специалисти - на регионално, национално и международно ниво
  • Индивидуални оферти с гъвкави договорни условия и без скрити разходи

Запитване за оферта

Вашето лице за контакт: инж. Хайко Шмидт

Ще се радваме да Ви представим индивидуална оферта за сертификация на Вашата СУСИ по ISO 27001.

Вашето запитване

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас